Библиотеки.NET для очистки входа?
Я вижу много хороших и правильных ответов на ваш первый вопрос, но нет ответов на ваш второй, поэтому вот что: я думаю, что это ужасная идея. Почему вы должны пересобрать свое программное обеспечение (особенно выпускную версию), чтобы просто изменить имя сервера? Кроме того, как вы узнаете, какая версия вашего программного обеспечения указывает на какой сервер? Вам придется встроить механизм для проверки во время выполнения. Если это вообще практично для вашей платформы, я рекомендую вам загрузить домены / URL-адреса из файла конфигурации. Только самые маленькие встраиваемые платформы не могут быть «практичными» для этой цели:)
4 ответа
SQL-инъекция и межсайтовый скриптинг (также известный как XSS или Script Injection) - разные проблемы .
1) SQL-инъекция очень проста, всегда используйте параметризованные запросы (SQLParameter) и очень старайтесь НИКОГДА не выполнять sp_exec @query в хранимых процедурах T-SQL. Параметризованные запросы .Net не защитят от этой инъекции второго порядка.
2) XSS труднее повсеместно смягчить, поскольку существует очень много мест, где JavaScript может быть вставлен в документы HTML. Рекомендации по использованию AntiXSS для кодирования пользовательских данных актуальны. Используйте эту библиотеку перед вставкой пользовательских данных в выходные документы. К сожалению, если вы используете серверные элементы управления ASP.Net, кодирование всех данных может привести к двойному кодированию и отображению артефактов. Это происходит потому, что одни свойства элемента управления кодируют данные, а другие - нет. Обратитесь к этой таблице , чтобы узнать свойства, закодированные по умолчанию. Используйте Anti-XSS перед назначением каких-либо свойств, которые не кодируются.
Мне нравится использовать библиотеку Microsoft AntiXSS . Это бесплатно и довольно просто в использовании.
Для внедрения SQL я всегда использую параметры. Опять же, они просты в использовании, и мне не нравится экранировать специальные символы. Если вы спросите меня, это рецепт катастрофы.
Используйте параметризованные команды вместо того, чтобы пытаться очистить строки, для защиты от внедрения SQL.
AntiXSS можно использовать для предотвращения XSS атаки.